"Il Data Breach, adempimenti per le aziende Centro Ingressi Frentani

Slides:



Advertisements
Presentazioni simili
Disposizioni Sanzionatorie Antiriciclaggio disposizioni 3 direttiva.
Advertisements

Unità d’apprendimento
Associazione Industriale Bresciana 24 giugno 2004 PRIVACY ADEMPIMENTI IN MATERIA DI SICUREZZA E DPS Criteri per la redazione Associazione Industriale Bresciana.
Principali Direttive di prodotto applicabili alle macchine maggio 2016
LEGGE 68/2015: AMPLIAMENTO DEI CASI DI RESPONSABILITA’ DEGLI ENTI EX D.LGS. 231 DEL 2001 PER I REATI AMBIENTALI Ambiente, Sicurezza e Responsabilità.
Informativa sull’adempimento degli obblighi di e-cohesion di cui all’art. 122, comma 3 del reg. (UE) 1303/2013 Programma Competitività regionale 2007/13.
PRIVACY Il principio di accountability e la gestione dei processi per la compliance al RegolamentoUE ROMA – PRIVACY DAY OTTOBRE 2016 ANDREA CHIOZZI.
Il contratto di lavoro part-time
Sciopero nei servizi pubblici essenziali
La cittadinanza europea: problemi e prospettive
L. 241 del 7 agosto 1990 AI SENSI DELL’ART. 8, COMMA 3 DELLA L. 241/90 GLI EROGATORI DEI SERVIZI E DELLE PRESTAZIONI SONO TENUTI AD INFORMARE I DESTINATARI.
(servizi di interesse economico generale)
SICUREZZA E SALUTE SUL LAVORO D. LGS 81/2008 E LAVORO ATIPICO D
Assemblea dei Presidenti
Il procedimento amministrativo è
CORSO DI DIRITTO INTERNAZIONALE PRIVATO E PROCESSUALE a.a (7)
Il transitorio USTIF - ANSF
Silenzio assenso fra P.A. Servizi tecnici
Riordino della legislazione sulla trasparenza
Il principio di trasparenza ha incontrato un crescente interesse nei suoi confronti da parte della normativa, particolarmente accentuato negli ultimi anni.
Profili giuridici delle nuove tecnologie didattiche:
FONTI DEL DIRITTO.
PROCEDURE ORDINARIE.
CORSO DI FORMAZIONE PER PREPOSTI [ex D.Lgs ]
COMUNICAZIONE ISTITUZIONALE l’Ufficio Relazioni con il Pubblico
TRACCIABILITA’ E SANZIONI
1 Il ricorso straordinario al Presidente della Repubblica è un rimedio: A-Alternativo al ricorso giurisdizionale. B-Pregiudiziale al ricorso giurisdizionale.
Tutela della privacy: la trasmissione dei Dati personali nella gestione dei sistemi complessi in medicina Convegno ITC- Privacy e Tutela dei dati in sanità.
Tutela della privacy e atti scolastici
SEZIONE: diritto amministrativo. Seminari
GIORNATA DELLA TRASPARENZA 2016
FONTI DEL DIRITTO.
FONTI DEL DIRITTO.
DIRITTO DELL’UNIONE EUROPEA I diritti fondamentali
DIRITTO DELL’UNIONE EUROPEA
Consulenza legale, fiscale e strategica alle imprese
E CESSAZIONE DEL RAPPORTO DI LAVORO
G.D.P.R. – Sintesi e proposizione
Il Regolamento Generale sulla Protezione dei Dati personali
Il nuovo Regolamento Generale UE 2016/679
Principio di non discriminazione
Corso di aggiornamento privacy alla luce del nuovo regolamento europeo
IL NUOVO REGOLAMENTO PRIVACY: ADEMPIMENTI PER GLI AVVOCATI
Legge 29 maggio 2017 n. 71 "Disposizioni a tutela dei minori per la prevenzione ed il contrasto del fenomeno del cyberbullismo"
Il ruolo del tutor aziendale nei percorsi di Alternanza Scuola Lavoro
FORMAZIONE LAVORATORI CON HANDICAP INTELLETTIVO E PSICHICO
GDPR – IL COME R.EU 2016/679 Andrea Chiozzi, Warrant Group
Prof. Avv. Alberto Gambino
RIVOLUZIONE PRIVACY 2018.
I Profili Fiscali della Gestione del Patrimonio dell’Incapace
Il Codice etico nei modelli ex D.Lgs. n. 231/2001
CITTADINANZA DIGITALE
Prevenzione e contrasto del fenomeno del cyberbullismo
Giugno 2018 Relatore: dott. POTITO L. IASCONE
Leggi, teoria e pratica.
BROCHURE COMPLIANCE.
Audizione di AGENS presso la Camera dei Deputati
IL DIRITTO ALLA PRIVACY
La nuova normativa europea sulla Protezione dei Dati Personali
ETICA E DEONTOLOGIA SEGRETO PROFESSIONALE E RISERVATEZZA
Il Conflitto di Interesse negli Appalti
Aspetti normativi del D.Lvo n. 196 del 2003
FONTI DEL DIRITTO.
Le strutture organizzative del
Sentenza «Taricco» (C-105/14)
Le informazioni privilegiate e il ritardo nella loro comunicazione
Regolamento ue 2016/679 trattamento dei dati personali
DIRETTIVA 2016/ LUGLIO 2016.
IL NUOVO REGOLAMENTO EUROPEO SULLA PRIVACY (GDPR):
Workshop della Commissione Calcolo e Reti dell'I.N.F.N.
Transcript della presentazione:

"Il Data Breach, adempimenti per le aziende Centro Ingressi Frentani con il Regolamento UE" 6° PRIVACY DAY FORUM Centro Ingressi Frentani Roma Roma 13 Ottobre 2016 Avv.to Anna Cataleta Responsabile Privacy H3G S.p.A.

Sommario Premesse ed excursus normativo Definizione di violazione d dati personali Articolo 33 GDPR: considerando 85 Testo Articolo 33 GDPR Notifica di una violazione dei dati personali all'autorità di controllo; interpretazione giuridica Art 34 GDPR: Consideranda 86,87,88 GDPR Art 34:Comunicazione di una violazione dei dati personali all'interessato: elementi della comunicazione e casi di esclusione Le misure idonee preventive da adottare Le misure idonee da adottare Sicurezza del trattamento: Consideranda 83 ed 84 GDPR ed art. 32 GDPR Sanzioni Osservazioni conclusive Per la realizzazione di questa presentazione in tema di regole per evitare la violazioni privacy sono state consultate ed utilizzate le seguenti fonti normative: Modifiche al decreto legislativo 30 giugno 2003, n.196, recante codice in materia di protezione dei dati personali in attuazione delle direttive 2009/136/CE, in materia di trattamento dei dati personali e tutela della vita privata nel settore delle comunicazioni elettroniche, e2009/140/C e in materia di reties. PROVVEDIMENTO GENERALE DELL’AUTORITA’ GARANTE PER LA PROTEZIONE DEI DATI PERSONALI SU DATABREACH Provvedimento in materia di attuazione della disciplina sulla comunicazione delle violazioni di dati personali(c.d.databreach)4 aprile 2013 2015….  REGOLAMENTO UE SULLA DATA BREACH Regolamento (UE) N.611/2013 della Commissione del 24 giugno 2013 sulle misure applicabili alla notifica delle violazioni di dati personali a norma della direttiva 2002/58/CE del Parlamento europeo e del Consiglio relativa alla vita privata e alle comunicazioni elettroniche (in vigore dal 25 agosto 2013) PARERE DEL GRUPPO DEI GARANTI EUROPEI (GRUPPO EX ART.29 DIRETTIVA UE SULLA TUTELA DEI DATI PERSONALI) Parere 3/2014 sulla notifica delle violazioni dei dati personali del 25 Marzo 2014  Regolamento del Parlamento europeo e del Consiglio concernente la tutela delle persone fisiche con riguardo al trattamento dei dati personali e la libera circolazione di tali dati (Regolamento generale sulla protezione dei dati). N.679/2016 1 Avv. Anna CATALETA 1 Avv. Anna CATALETA

Premesse -excursus normativo- (1/2) Lo scorso 04 Maggio è stato pubblicato -dopo un lungo iter di approvazione- in Gazzetta Ufficiale Europea il cd. General Data Protection Regulation (GDPR 2016/679) che ha fornito un’ ulteriore spinta al consolidamento di una disciplina unitaria in materia di privacy e protezione dei dati a livello europeo. Il GDPR entrerà ufficialmente in vigore a partire dal 25 maggio del 2018. Il GDPR  introduce -in corrispondenza del capo IV seconda sezione- relativo alla “sicurezza dei sistemi e dei dati nelle pubbliche amministrazioni- l’obbligo di comunicazione delle violazioni di dati personali, a tutti i trattamenti di dati personali effettuati dalle pubbliche amministrazioni e imprese (obbligo già previsto attualmente in alcuni ordinamenti). In Italia l’obbligo di comunicazione delle violazioni di dati personali era già disciplinato, con l’articolo 32-bis del Codice Privacy /D.lgs n. 196/03) l’art.  (introdotto dall’art. 1, c. 3, d.lgs. 28.5.2012, n. 69)  riguardava esclusivamente i fornitori di servizi di comunicazione elettronica accessibili al pubblico. L’ART. 32-bis, comma 2, introduce la disciplina degli «Adempimenti conseguenti ad una violazione di dati personali» e sancisce l’obbligo per i fornitori di servizi di comunicazione elettronica accessibili al pubblico, di comunicare senza indebiti ritardi al Garante la violazione di dati personali da essi detenuti. Nei casi in cui dalla violazione possa derivare pregiudizio ai dati personali o alla riservatezza di un contraente o di altra persona, il fornitore dovrà comunicare l'avvenuta violazione anche a tali soggetti; il comma 3 specifica che tale seconda comunicazione non è dovuta se il fornitore ha dimostrato al Garante di aver utilizzato misure "che rendono i dati inintelligibili a chiunque non sia autorizzato ad accedervi e che tali misure erano state applicate al momento della violazione". Infine, il Garante, considerate le presumibili ripercussioni negative della violazione, può comunque obbligare il fornitore ad effettuare la predetta comunicazione, ove lo stesso non vi abbia già provveduto (comma 4). Il Regolamento UE n. 611/2013 del 24 giugno 2013 disciplina le misure applicabili alla notifica delle violazioni di dati personali a norma della direttiva 2002/58/CE del Parlamento europeo e del Consiglio relativa alla vita privata e alle comunicazioni elettroniche. La finalità del regolamento è quella di prevedere un sistema di notifica delle violazioni di dati personali all’autorità nazionale competente che comporti, ove sussistano determinate condizioni, fasi distinte a cui si applicano scadenze ben definite. L’art. 2 del Regolamento definisce la procedura in tema di notifica che deve essere effettuata dal fornitore entro un termine di 24 ore a partire dal rilevamento della violazione, ove possibile. L’art. 3 del Regolamento prevede, inoltre, che quando la violazione di dati personali rischia di pregiudicare i dati personali o la vita privata di un abbonato o di altra persona, in aggiunta alla notifica precedente il fornitore comunica l’avvenuta violazione anche all’abbonato o all’altra persona. 2 Avv. Anna CATALETA

Premesse -excursus normativo- (2/2) In seguito detto obbligo è stato esteso ai seguenti settori in aggiunta alle Societa’ telefoniche e Internet Provider. Infatti il Garante per la protezione dei dati personali ha adottato una serie di provvedimenti che fissano per amministrazioni pubbliche e aziende l’obbligo di comunicazione nei casi in cui - a seguito di attacchi informatici, accessi abusivi, incidenti o eventi avversi, come incendi o altre calamità - si dovesse verificare la perdita, la distruzione o la diffusione indebita di dati personali conservati, trasmessi o comunque trattati.   BIOMETRIA Provvedimento n. 513 del 12 novembre 2014 Entro 24 ore dalla conoscenza del fatto, i titolari del trattamento (aziende, amministrazioni pubbliche, ecc.) comunicano al Garante (tramite il modello allegato al provvedimento) tutte le violazioni dei dati o gli incidenti informatici che possano avere un impatto significativo sui sistemi biometrici installati o sui dati personali custoditi. DOSSIER SANITARIO ELETTRONICO Provvedimento n. 331 del 4 giugno 2015 Entro 48 ore dalla conoscenza del fatto, le strutture sanitarie pubbliche e private sono tenute a comunicare al Garante (tramite il modello allegato al provvedimento) tutte le violazioni dei dati o gli incidenti informatici che possano avere un impatto significativo sui dati personali trattati attraverso il dossier sanitario. AMMINISTRAZIONI PUBBLICHE Provvedimento n. 392 del 2 luglio 2015 Entro 48 ore dalla conoscenza del fatto, le amministrazioni pubbliche sono tenute a comunicare al Garante (tramite il modello allegato al provvedimento) tutte le violazioni dei dati o gli incidenti informatici che possano avere un impatto significativo sui dati personali 3 Avv. Anna CATALETA

Definizione di violazione di dati personali Secondo le definizioni contenute nel testo del GDPR per  “violazione dei dati personali” si intende: “la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai dati personali trasmessi, conservati o comunque trattati”. Il Regolamento  Europeo distingue due modalità di data breach: la comunicazione delle violazioni di dati all’autorità nazionale di protezione dei dati personali (prevista dall’art. 33 del regolamento)-Notifica di una violazione dei dati personali all'autorità di controllo la comunicazione ai soggetti a cui si riferiscono i dati, nei casi più gravi (c.d. soggetti “interessati), prevista dall’art. 34 del regolamento Comunicazione di una violazione dei dati personali all'interessato Il GDPR evidenzia inoltre i seguenti aspetti: quale soggetto è tenuto a notificare; entro quanto tempo; le modalità ed il contenuto della notificazione della violazione dei dati personali “data breach; le eventuali responsabilità e le sanzioni nel caso di violazione degli obblighi in materia. Tali aspetti saranno analizzati nelle seguenti slides ove si riporteranno anche il contenuto pedissequo degli articoli 33 e 34 come previsti dal testo del Regolamento Europeo ed i relativi consideranda(ed in particolare da 85 ad 88) 4 Avv. Anna CATALETA

Art. 33 GDPR Notifica di una violazione dei dati personali all'autorità di controllo Considerando 85 GDPR (1/4)  (85)Una violazione dei dati personali può, se non affrontata in modo adeguato e tempestivo, provocare danni fisici, materiali o immateriali alle persone fisiche, ad esempio perdita del controllo dei dati personali che li riguardano o limitazione dei loro diritti, discriminazione, furto o usurpazione d'identità, perdite finanziarie, decifratura non autorizzata della pseudonimizzazione, pregiudizio alla reputazione, perdita di riservatezza dei dati personali protetti da segreto professionale o qualsiasi altro danno economico o sociale significativo alla persona fisica interessata. Pertanto, non appena viene a conoscenza di un'avvenuta violazione dei dati personali, il titolare del trattamento dovrebbe notificare la violazione dei dati personali all'autorità di controllo competente, senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che il titolare del trattamento non sia in grado di dimostrare che, conformemente al principio di responsabilizzazione, è improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche. Oltre il termine di 72 ore, tale notifica dovrebbe essere corredata delle ragioni del ritardo e le informazioni potrebbero essere fornite in fasi successive senza ulteriore ingiustificato ritardo. 5 Avv. Anna CATALETA

Testo Articolo 33 GDPR (2/4) Notifica di una violazione dei dati personali all'autorità di controllo 1. In caso di violazione dei dati personali, il titolare del trattamento notifica la violazione all'autorità di controllo competente a norma dell'articolo 55 senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche. Qualora la notifica all'autorità di controllo non sia effettuata entro 72 ore, è corredata dei motivi del ritardo. 2. Il responsabile del trattamento informa il titolare del trattamento senza ingiustificato ritardo dopo essere venuto a conoscenza della violazione. 3. La notifica di cui al paragrafo 1 deve almeno: a) descrivere la natura della violazione dei dati personali compresi, ove possibile, le categorie e il numero approssimativo di interessati in questione nonché le categorie e il numero approssimativo di registrazioni dei dati personali in questione; b) comunicare il nome e i dati di contatto del responsabile della protezione dei dati o di altro punto di contatto presso cui ottenere più informazioni; c) descrivere le probabili conseguenze della violazione dei dati personali; d) descrivere le misure adottate o di cui si propone l'adozione da parte del titolare del trattamento per porre rimedio alla violazione dei dati personali e anche, se del caso, per attenuarne i possibili effetti negativi. 4. Qualora e nella misura in cui non sia possibile fornire le informazioni contestualmente, le informazioni possono essere fornite in fasi successive senza ulteriore ingiustificato ritardo. 5. Il titolare del trattamento documenta qualsiasi violazione dei dati personali, comprese le circostanze a essa relative, le sue conseguenze e i provvedimenti adottati per porvi rimedio. Tale documentazione consente all'autorità di controllo di verificare il rispetto del presente articolo. 6 Avv. Anna CATALETA

Art.33 Notifica di una violazione dei dati personali all'autorità di controllo (3/4) La notifica delle violazioni dei dati personali ricade sul titolare del trattamento e deve essere comunicata all’autorità di controllo senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche. Il termine di 72 ore costituisce un periodo molto breve in considerazione della complessità organizzativa delle pubbliche amministrazioni, delle imprese e dei relativi trattamenti di dati effettuati. Il Titolare del trattamento deve essere informato della violazione dei dati dal Responsabile del trattamento senza ritardo dopo esserne venuto a conoscenza. Accertare che la violazione di dati verificatesi non presenta un rischio per i diritti e le libertà, implica che il titolare del trattamento sia di rendere conto delle proprie decisioni (accountability), informando e sensibilizzando tutti gli attori interni ed esterni alla organizzazione pubblica o privata. Nel caso in cui la notifica all'autorità di controllo non sia effettuata entro le previste 72 ore,  il titolare può comunque inviarla  anche successivamente a tale termine ma è tenuto ad allegare anche un documento in cui illustri i motivi del ritardo. La previsione di obbligo di data breach comporta che il titolare del trattamento è tenuto a verificare se siano state messe in atto tutte le misure tecnologiche e organizzative adeguate di protezione per stabilire immediatamente se c'è stata violazione dei dati personali e informare tempestivamente l'autorità di controllo e l'interessato. 7 Avv. Anna CATALETA

Elementi che deve contenere la notifica delle violazioni al Garante Art 33 Notifica di una violazione dei dati personali all'autorità di controllo: elementi della comunicazione (4/4) Elementi che deve contenere la notifica delle violazioni al Garante La notifica delle violazioni deve almeno: descrivere la natura della violazione dei dati personali compresi, se possibile, le categorie e il numero approssimativo di interessati in questione nonché le categorie e il numero approssimativo di registrazioni dei dati personali in questione; b) comunicare il nome e i dati di contatto del responsabile della protezione dei dati o di altro punto di contatto presso cui ottenere più informazioni; c) descrivere le probabili conseguenze della violazione dei dati personali; d) descrivere le misure adottate o di cui si propone l’adozione da parte del titolare del trattamento per porre rimedio alla violazione dei dati personali e anche, se del caso, per attenuarne i possibili effetti negativi. Se non è possibile fornire le informazioni contestualmente, le informazioni possono essere fornite in fasi successive senza ulteriore ingiustificato ritardo. Il titolare del trattamento, oltre alla notifica, deve tenere una documentazione su qualsiasi violazione dei dati personali, comprese le circostanze a essa relative, le sue conseguenze e i provvedimenti adottati per porvi rimedio. La documentazione di cui sopra deve essere conservata diligentemente e tenuta a disposizione per eventuali verifiche dell’autorità garante. 8 Avv. Anna CATALETA

Art. 34 Comunicazione di una violazione dei dati personali all'interessato Consideranda 86-87-88 (1/4) (86) Il titolare del trattamento dovrebbe comunicare all'interessato la violazione dei dati personali senza indebito ritardo, qualora questa violazione dei dati personali sia suscettibile di presentare un rischio elevato per i diritti e le libertà della persona fisica, al fine di consentirgli di prendere le precauzioni necessarie. La comunicazione dovrebbe descrivere la natura della violazione dei dati personali e formulare raccomandazioni per la persona fisica interessata intese ad attenuare i potenziali effetti negativi. Tali comunicazioni agli interessati dovrebbero essere effettuate non appena ragionevolmente possibile e in stretta collaborazione con l'autorità di controllo e nel rispetto degli orientamenti impartiti da questa o da altre autorità competenti quali le autorità incaricate dell'applicazione della legge. Ad esempio, la necessità di attenuare un rischio immediato di danno richiederebbe che la comunicazione agli interessati fosse tempestiva, ma la necessità di attuare opportune misure per contrastare violazioni di dati personali ripetute o analoghe potrebbe giustificare tempi più lunghi per la comunicazione.  (87) È opportuno verificare se siano state messe in atto tutte le misure tecnologiche e organizzative adeguate di protezione per stabilire immediatamente se c'è stata violazione dei dati personali e informare tempestivamente l'autorità di controllo e l'interessato. È opportuno stabilire il fatto che la notifica sia stata trasmessa senza ingiustificato ritardo, tenendo conto in particolare della natura e della gravità della violazione dei dati personali e delle sue conseguenze e effetti negativi per l'interessato. Siffatta notifica può dar luogo a un intervento dell'autorità di controllo nell'ambito dei suoi compiti e poteri previsti dal presente regolamento. (88) Nel definire modalità dettagliate relative al formato e alle procedure applicabili alla notifica delle violazioni di dati personali, è opportuno tenere debitamente conto delle circostanze di tale violazione, ad esempio stabilire se i dati personali fossero o meno protetti con misure tecniche adeguate di protezione atte a limitare efficacemente il rischio di furto d'identità o altre forme di abuso. Inoltre, è opportuno che tali modalità e procedure tengano conto dei legittimi interessi delle autorità incaricate dell'applicazione della legge, qualora una divulgazione prematura possa ostacolare inutilmente l'indagine sulle circostanze di una violazione di dati personali. 9 Avv. Anna CATALETA

Testo Articolo 34 GDPR Comunicazione di una violazione dei dati personali all'interessato (2/4) 1. Quando la violazione dei dati personali è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento comunica la violazione all'interessato senza ingiustificato ritardo. 2. La comunicazione all'interessato di cui al paragrafo 1 del presente articolo descrive con un linguaggio semplice e chiaro la natura della violazione dei dati personali e contiene almeno le informazioni e le misure di cui all'articolo 33, paragrafo 3, lettere b), c) e d). 3. Non è richiesta la comunicazione all'interessato di cui al paragrafo 1 se è soddisfatta una delle seguenti condizioni: a) il titolare del trattamento ha messo in atto le misure tecniche e organizzative adeguate di protezione e tali misure erano state applicate ai dati personali oggetto della violazione, in particolare quelle destinate a rendere i dati personali incomprensibili a chiunque non sia autorizzato ad accedervi, quali la cifratura; b) il titolare del trattamento ha successivamente adottato misure atte a scongiurare il sopraggiungere di un rischio elevato per i diritti e le libertà degli interessati di cui al paragrafo 1; c) detta comunicazione richiederebbe sforzi sproporzionati. In tal caso, si procede invece a una comunicazione pubblica o a una misura simile, tramite la quale gli interessati sono informati con analoga efficacia. 4. Nel caso in cui il titolare del trattamento non abbia ancora comunicato all'interessato la violazione dei dati personali, l'autorità di controllo può richiedere, dopo aver valutato la probabilità che la violazione dei dati personali presenti un rischio elevato, che vi provveda o può decidere che una delle condizioni di cui al paragrafo 3 è soddisfatta. 10 Avv. Anna CATALETA

Art. 34: Elementi della comunicazioni violazione all’interessato (3/4) Il regolamento europeo prevede anche la comunicazione della violazione dei dati personali “data breach” verso il soggetto interessato (cittadino, utente). Tale comunicazione è richiesta, quando la violazione dei dati personali è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche. La sopra citata comunicazione deve essere effettuata dal titolare senza ingiustificato ritardo. Il regolamento richiede che la comunicazione all'interessato (cittadino) deve essere effettuata, senza ingiustificato ritardo, con un linguaggio semplice e chiaro al fine di fare comprendere allo stesso la natura della violazione dei dati personali verificatesi. Cosa contiene la comunicazione delle violazioni all’interessato La notifica delle violazioni deve almeno: a) comunicare il nome e i dati di contatto del responsabile della protezione dei dati o di altro punto di contatto presso cui ottenere più informazioni; b) descrivere le probabili conseguenze della violazione dei dati personali; c) descrivere le misure adottate o di cui si propone l’adozione da parte del titolare del trattamento per porre rimedio alla violazione dei dati personali e anche, se del caso, per attenuarne i possibili effetti negativi. La comunicazione all’interessato deve essere formulata con un linguaggio semplice e chiaro e deve descrivere la natura della violazione dei dati personali. 11 Avv. Anna CATALETA

Art. 34: Quando non è richiesta la comunicazione delle violazioni agli interessati (4/4) Il regolamento europeo, nell’ottica di venire incontro alle esigenze delle pubbliche amministrazioni e delle aziende ed evitare un enorme danno reputazionale,  specifica che  non è richiesta la comunicazione all’interessato quando ricorra almeno una delle seguenti condizioni: a) il titolare del trattamento ha messo in atto le misure tecniche e organizzative adeguate di protezione e tali misure erano state applicate ai dati personali oggetto della violazione, in particolare quelle destinate a rendere i dati personali incomprensibili a chiunque non sia autorizzato ad accedervi, quali la cifratura b)il titolare del trattamento ha successivamente adottato misure atte a scongiurare il sopraggiungere di un rischio elevato per i diritti e le libertà degli interessati; c) la comunicazione richiederebbe sforzi sproporzionati. In tal caso, si procede invece a una comunicazione pubblica o a una misura simile, tramite la quale gli interessati sono informati con analoga efficacia. L’autorità di controllo può, comunque, richiedere al titolare di provvedere alla comunicazione. Il regolamento europeo per la protezione dei dati richiede che nel caso in cui il titolare del trattamento non abbia ancora comunicato all'interessato la violazione dei dati personali, l'autorità di controllo può richiedere, dopo aver valutato la probabilità che la violazione dei dati personali presenti un rischio elevato, che vi provveda o può decidere che una delle sopra citate condizioni (previste dal paragrafo 3) è soddisfatta   12 Avv. Anna CATALETA

Le misure idonee preventive da adottare per evitare violazioni di dati E’ necessario rendere i dati trattati immediatamente non disponibili per ulteriori elaborazioni da parte di sistemi informativi al termine delle attività svolte e nelle quali gli stessi sono coinvolti, provvedendo alla loro cancellazione o trasformazione in forma anonima in tempi tecnicamente compatibili con l'esercizio delle relative procedure informatiche, nei data base e nei sistemi di elaborazione utilizzati per i trattamenti, nonché nei sistemi e nei supporti per la realizzazione di copie e di sicurezza(backupedisasterrecovery),anche con il ricorso a tecnologie crittografiche o di anonimizzazione. E’ necessario porre particolare attenzione ai dispositivi portatili, predisponendo specifiche misure di sicurezza in grado di mitigare il rischio connesso alla portabilità dell'apparato, e di assicurare agli stessi un livello di sicurezza analogo a quello applicato agli altri dispositivi informatici, in considerazione del fatto che molto spesso le violazioni della sicurezza riguardano i dispositivi mobili utilizzati da dipendenti e collaboratori dei fornitori al difuori degli uffici delle aziende. E’ importante che il Titolari del trattamento siano proattivi e procedano a un'adeguata pianificazione adottando e attuando misure tecniche ed organizzative appropriate per garantire un livello di sicurezza appropriato rispetto ai rischi (cioè le cc.dd“misure idonee di sicurezza”)presentati dal trattamento. A tale scopo occorre predisporre un idoneo quadro di gestione dei rischi, che definisca gli elementi minimi che un tale approccio dovrebbe comprendere e che contempli una serie di opportuni controlli tecnici ed organizzativi minimi con particolare attenzione ai controlli per rendere incomprensibili i dati, ove necessario. Le imprese dovrebbero inoltre istituire preventivamente piani appropriati per il trattamento delle violazioni dei dati personali, idonei a garantire che essere agiscano a siffatte violazioni in modo rapido ed efficace. La crittografia se considerata quale ulteriore misura di sicurezza, nel caso di Data Breach diventa necessaria per evitare anche la comunicazione ai soggetti interessati 13 Avv. Anna CATALETA

Sicurezza del trattamento: misure di sicurezza idonee (1/2) Il regolamento Europeo all’art. 32 prevede misure di sicurezza idonee, da adottare sulla base di una valutazione dei rischi. Gli adempimenti richiesti al titolare del trattamento sono due: 1) valutazione dei rischi inerenti al trattamento; 2) realizzazione di misure per limitare tali rischi, quali, ad esempio, la cifratura. Le misure progettate e realizzate devono assicurare un adeguato livello di sicurezza, considerando sia lo stato attuale, i costi di realizzazione che i rischi connaturati nei trattamenti e alla natura dei dati personali da tutelare.   Nella valutazione dei rischi che è sempre necessaria si deve tenere conto: delle eventualità di distruzione accidentale o illegale, perdita, modifica, rivelazione o accesso non autorizzati a dati personali trasmessi, conservati o comunque elaborati degli eventuali pregiudizi derivati: danni fisici, materiali o immateriali. Se i trattamenti presentano un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento deve svolgere una valutazione d’impatto (*) sulla protezione dei dati per determinare, in particolare, l’origine, la natura, la particolarità e la gravità di tale rischio. Se la tecnologia disponibile o i costi di attuazione non rendano possibile l’adozione di misure di gestione del rischio elevato, prima del trattamento si deve consultare l’autorità di controllo. (*) La “valutazione d’impatto” è attività riservata ai “rischi elevati” e presuppone il coinvolgimento, nelle ipotesi più delicate, dell’autorità garante. 6 Avv. Anna CATALETA

Sicurezza del trattamento: misure di sicurezza idonee (2/2) Le misure possono essere: tecniche organizzative. Tra le misure sono comprese le seguenti (da adattare ai casi specifici): a) la pseudonimizzazione e la cifratura dei dati personali; b) la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento; c) la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico; d) una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento. Il livello di sicurezza è adeguato, quando è in grado di contrastare i rischi di - Distruzione; - Perdita; - Modifica; - Divulgazione non autorizzata; - Accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati. Tali concetti sono chiaramente esposti dall’art. 32 e dai relativi consideranda del Regolamento Europeo e che di seguito si riportano.   6 Avv. Anna CATALETA

Art 32 Sicurezza del trattamento Consideranda 83 ed 84 GDPR Considerando (83) Per mantenere la sicurezza e prevenire trattamenti in violazione al presente regolamento, il titolare del trattamento o il responsabile del trattamento dovrebbe valutare i rischi inerenti al trattamento e attuare misure per limitare tali rischi, quali la cifratura. Tali misure dovrebbero assicurare un adeguato livello di sicurezza, inclusa la riservatezza, tenuto conto dello stato dell'arte e dei costi di attuazione rispetto ai rischi che presentano i trattamenti e alla natura dei dati personali da proteggere. Nella valutazione del rischio per la sicurezza dei dati è opportuno tenere in considerazione i rischi presentati dal trattamento dei dati personali, come la distruzione accidentale o illegale, la perdita, la modifica, la rivelazione o l'accesso non autorizzati a dati personali trasmessi, conservati o comunque elaborati, che potrebbero cagionare in particolare un danno fisico, materiale o immateriale. Considerando (84) Per potenziare il rispetto del presente regolamento qualora i trattamenti possano presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento dovrebbe essere responsabile dello svolgimento di una valutazione d'impatto sulla protezione dei dati per determinare, in particolare, l'origine, la natura, la particolarità e la gravità di tale rischio. L'esito della valutazione dovrebbe essere preso in considerazione nella determinazione delle opportune misure da adottare per dimostrare che il trattamento dei dati personali rispetta il presente regolamento. Laddove la valutazione d'impatto sulla protezione dei dati indichi che i trattamenti presentano un rischio elevato che il titolare del trattamento non può attenuare mediante misure opportune in termini di tecnologia disponibile e costi di attuazione, prima del trattamento si dovrebbe consultare l'autorità di controllo. 5 Avv. Anna CATALETA

Sicurezza del trattamento Testo Articolo 32 GDPR Sicurezza del trattamento 1. Tenendo conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso: a) la pseudonimizzazione e la cifratura dei dati personali; b) la capacità di assicurare su base permanente la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento; c) la capacità di ripristinare tempestivamente la disponibilità e l'accesso dei dati personali in caso di incidente fisico o tecnico; d) una procedura per testare, verificare e valutare regolarmente l'efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento. 2. Nel valutare l'adeguato livello di sicurezza, si tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall'accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati. 3. L'adesione a un codice di condotta approvato di cui all'articolo 40 o a un meccanismo di certificazione approvato di cui all'articolo 42 può essere utilizzata come elemento per dimostrare la conformità ai requisiti di cui al paragrafo 1 del presente articolo. 4. Il titolare del trattamento e il responsabile del trattamento fanno sì che chiunque agisca sotto la loro autorità e abbia accesso a dati personali non tratti tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell'Unione o degli Stati membri 6 Avv. Anna CATALETA

Sanzioni La violazione degli obblighi del titolare del trattamento e del responsabile del trattamento previsto dagli artt. 33 e 34 del GDPR comporta sanzioni pecuniarie fino a euro 10.000.000,00, o per le imprese fino al 2% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore. La violazione degli obblighi del titolare del trattamento e del responsabile del trattamento previsto dall’art. 32 del GDPR comporta sanzioni pecuniarie fino a euro 10.000.000,00, o per le imprese fino al 2% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore.   14 Avv. Anna CATALETA

Osservazioni Conclusive. Il GDPR all’articolo 33 introduce una grossa novità nello scenario della sicurezza dei dati: la necessità di notificare la violazione dei propri sistemi informatici (rectius data breach) al Garante. Inoltre, l’art. 34 estende, in alcuni casi, tale notifica a tutti gli interessati Scatta, quindi, un obbligo di autodenuncia: entro 72 ore da cui si viene a conoscenza di una violazione dei propri sistemi informatici è necessario seguire una procedura che notifichi la violazione all’autorità Garante della Privacy. Tale nuovo obbligo ha un impatto rilevante a livello organizzativo e tecnico per qualunque impresa che dovrà adottare tutte quelle misure di sicurezza adeguate al fine di ridurre al minimo tale rischio.  Titolari e Responsabili del trattamento potranno aderire, altresì, sia ad un codice di condotta preventivamente approvato sia ad un meccanismo di certificazione riconosciuto. Proprio a tali ultimi due profili sembra possibile attribuire un ruolo determinate nel futuro della compliance aziendale, in quanto strumenti idonei a garantire un corretto e lecito trattamento dei dati personali, in grado di prevenire e limitare future contestazioni da parte degli utenti. 15 Avv. Anna CATALETA

Grazie per l’attenzione Per info e chiarimenti: anna.cataleta@h3g.it